EP52 - 非科技公司的資安應對與難處

Podcast 連結

本集章節

01:39 資安分析師的工作內容
06:28 資安分析師與資安工程師的差別
07:25 工作上遇到的資安事件
09:35 在非科技公司內推動資安的難處
15:29 產業未來的狀況
17:53 工作上有趣的事情
21:44 在美國資安產業找工作的經歷
24:19 資安相關證照
28:32 資安職位面試會問什麼問題？
31:02 為什麼要做Podcast？
34:01 獲取資安新知的管道
35:06 資安解壓縮未來的計畫

非科技公司下的資安困境

人力資源不足

任何和資安擦到邊的事都需要處理，需要處理很多眼前的問題。對於資安長遠發展來說比較難撥出資源和時間來規劃和改善
不像科技公司有紅隊、藍隊共同維繫資安，公司內部更偏向防禦方的藍隊，紅隊的部分需要透過外包的形式

公司員工普遍對於電腦的認識不足

需要花比較多的時間精力在做資安相關的訓練與教育
需要善用層級式防護(Defense in Depth)的架構建立起多層次的防護措施，這樣即使員工意外導致其中一種防護措施失效，也還有其他措施會抵擋攻擊

未來的趨勢

許多比較傳統的公司會不知道資安的重要性，因此沒有花費適當的資源在保護自己的系統。這些公司遲早會成為資安攻擊的受害者，他們也會在受到資安攻擊以後開始了解到資安的重要性，並開始投資資安。我所在的公司就是這樣的一個例子。

我認為未來每一家公司都會需要有一些資安專業人員，甚至是資安團隊或是資安部門，因此未來對於資安人才的需求只會越來越多，對於各種資安產品的需求也只會越來越高。

給想踏入資安領域的人

常見的面試問題類型

資安基礎問題
- 考驗基礎的資安知識，包含基本的名詞解釋、解釋常見的資安漏洞與應對方法
程式語言與 Scripting
- 測試基礎的程式語言與 Scripting 技巧，考驗對程式語言的基礎認識以及自動化工作的能力
情境題
- 比較在不同情境中可能會有的漏洞，並提供對應的防禦方式。面試官會可以從應對中知道你的資安知識的深度和廣度

資安面試問題整理：https://jobs.infosecdecompress.com

可運用的資源

時間比較充足的話可以多透過實作的方式來增加自己的經驗，像是多練習一些 labs、練工坊
多參加資安研討會吸收前輩傳授的知識，也可以在這些資安活動擔任志工
我在時間比較不足的情況下選擇透過考資安證照來充實自己的知識並讓自己的履歷更顯眼
在資安證照的選擇上可以參考這篇 Roadmap，選擇適合自己的證照：https://pauljerimy.com/security-certification-roadmap/

我們會在未來整理一篇文章來分享一些好用的資安學習/練習資源

如何有效率的獲取資安新知

工具推薦：Feedly

Feedly是一個 RSS 整合應用程式，我們可以利用 Feedly 來訂閱各個資安新聞網站，這樣就可以透過單一一個平台來快速的閱讀許多不同網站的新聞。